Conteúdo de Detecção: Ataque Relacionado à COVID-19 em Fornecedores Médicos

[post-views]
Maio 05, 2020 · 2 min de leitura
Conteúdo de Detecção: Ataque Relacionado à COVID-19 em Fornecedores Médicos

Nova regra Sigma por Osman Demir ajuda a detectar ataques de phishing relacionados à COVID-19 direcionados a fornecedores médicos. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

A campanha se tornou conhecida no final da semana passada, e os pesquisadores acreditam que está associada a golpistas 419 que exploram a pandemia de COVID-19 para ataques de Compromisso de Email Comercial. Os adversários enviam e-mails de phishing altamente direcionados com documentos maliciosos do MS Word, perguntando sobre vários materiais necessários para enfrentar a pandemia de COVID-19. O documento explora a vulnerabilidade CVE-2017-11882, antiga mas ainda eficaz, para entregar o infostealer Agent Tesla. AgentTesla é um malware modular baseado em .Net que rouba dados de diferentes aplicações e credenciais de WiFi, este malware comercial é uma das ferramentas favoritas dos golpistas de BEC. 

Osman Demir publicou seu primeiro conteúdo no final de novembro de 2019, e agora ele tem mais de 100 regras publicadas, incluindo conteúdo que atende a solicitações da Lista de Procurados. Entrevista com Osman Demir: https://socprime.com/blog/interview-with-developer-osman-demir/

 

A Detecção de Ameaças é suportada para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Táticas: Acesso Inicial

Técnica: Anexo de Spearphishing (T1193)

 

Outras regras relacionadas a esta campanha:

Detecção de AgentTesla RAT regra por Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

Ofuscação de Powershell por AgentTesla regra por Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Comportamento de Agent Tesla (detecção Sysmon e Powershell) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/  

Roubo de Senhas de Wifi (usando agent tesla atualizado) por Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

Exploração do CVE-2017-11882 por Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

Exploração do CVE-2017-11882 (possível ataque APT27) por Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.